Windows安全配置检测指导书.docVIP

PAGE 18 Windows服务器安全配置指导书 目 录 TOC \o 1-2 \h \z \u 1. 常规检查内容 1 1.1. Windows系统安全基线配置规范 1 1.1.1. 补丁管理 1 . 补丁安装 1 1.1.2. 用户帐号与口令安全 1 . 密码策略 1 . 账户锁定策略 2 . 用户权限设置 3 . 禁用Guest（来宾）帐户 3 . 修改管理员帐号名称 4 . 停用不使用的帐号 4 1.1.3. 日志与审核 4 . 审核策略 4 . 设置系统日志 5 1.1.4. 服务优化 6 . 关闭不必要的服务 6 . 加固SNMP服务 7 1.1.5. 安全防护 8 . 使用NTFS文件系统 8 . 屏幕保护 9 . 文件共享 10 . 防病毒管理 10 . 启用系统自带防火墙 10 . 删除默认共享 11 . 限制匿名用户连接 11 . 检测网络服务挂起时间 12 . 关闭驱动器自动运行 12 0. 检查数据执行保护 12 1. 检测 DDOS 攻击保护设置 13 2. 检查日期服务器 13 3. 检查登录超时设置 14 4. 检测加密或数字签名安全通道的数据的设置 14 5. 检测会话限制 14 6. 关闭不要的自启动项 15 2. 专项检查内容 15 2.1. 恶意或异常进程 15 2.2. 异常端口检测 15 2.3. 日志检查 16 2.4. 帐号检查 16 2.5. 文件检查 16 2.6. 网络连接检查 17 2.7. 定时作业检查 17 2.8. 无关软件安装 17 常规检查内容 Windows系统安全基线配置规范 补丁管理 补丁安装 配置说明 安装必要的安全补丁，禁止已知漏洞所造成的威胁。 要求内容 安装必要的安全补丁 操作指南 1．参考配置操作 补丁升级： 手动安装：使用IE访问 ，按提示安装必要的activeX控件后，按提示安装补丁 开始 – 控制面板 – 自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间 将IE版本升为6.0 以上. 2．补充操作说明 可使用微软基准安全分析器（MSBA）对补丁安装情况进行扫描，下载地址： /china/technet/security/tools/mbsahome.mspx 检测方法 1.检测操作 检查补丁（以下两种方式中任意一种）： 开始 – 控制面板 – 添加/删除程序，选中“显示更新”查看是否更新成功 用户帐号与口令安全 密码策略 配置说明 限制密码的最小长度并且密码必须符合复杂性要求，这样可以有效的防止远程或本地的恶意用户对计算机帐户进行口令破解。 要求内容 设置密码策略，防止用户因口令过短易猜解，启用本机组策略中密码必须符合复杂性要求的策略。 操作指南 1．参考配置操作 检查账户锁定策略是否设置： 开始 → 运行 → gpedit.msc 计算机配置 → Windows设置 → 安全设置 → 帐户策略 →-密码策略”；或开始 → 运行 →本地安全策略→帐户策略→密码策略； “密码必须符合复杂性要求”选择“已启用” “密码长度最小值”设置为8个字符 “密码最长存留期”2级、2+级系统设置为“90天”；3级系统设置为“60天” “强制密码历史”设置为“记住5个密码” “密码最短保留期” 设置为“1天” “用可还原密码”设置为“已禁用” 账户锁定策略 配置说明 对于恶意尝试口令破解的用户，设置锁定策略可以有效阻止其破解的速度。 要求内容 设置用户锁定策略，防止恶意用户使用暴力破解工具进行口令枚举。 操作指南 1．参考配置操作 检查账户锁定策略是否设置： 开始 → 运行 → gpedit.msc 计算机配置 → Windows设置 → 安全设置 → 帐户策略 → 帐户锁定策略或者开始 → 运行 →本地安全策略→帐户策略→帐户锁定策略； 做如下设置： 帐户锁定时间：5分钟 帐户锁定阀值：5次无效登录 重置帐户锁定计数器：3分钟 2．补充操作说明 设置不当可能导致帐号大面积锁定，在域环境中应小心设置。 Administrator帐号本身不会被锁定。 用户权限设置 配置说明 禁止除管理员外的一般用户远程登录计算机或关闭计算机，同时禁止无用帐号的登录，可以防止恶意用户通过破解一般低权限的用户口令后使用该用户登录进行提权攻击。 要求内容 设置用户权限，防止用户越权进行恶意操作。 操作指南 1．参考配置操作 检查用户权限策略是否设置： 开始 → 运行 →本地安全策略→本地策